專家解讀第二代防火墻三大特征

專家解讀第二代防火墻三大特征

第二代防火墻標準，適用于國內(nèi)政府、企業(yè)、金融、運營商等各行業(yè)的信息安全建設(shè)，包括等級保護建設(shè)、分級保護建設(shè)和行業(yè)安全建設(shè)。

其發(fā)布對于信息安全建設(shè)向融合的安全轉(zhuǎn)型具有指導(dǎo)意義，同時有效減輕了部署多款安全產(chǎn)品給管理員帶來的管理負擔。此外，還解決了網(wǎng)絡(luò)中多產(chǎn)品部署造成的性能壓力問題。

但是，當前廣大用戶需要在魚龍混雜的安全產(chǎn)品市場中選擇出真正符合標準要求和滿足自身需求的第二代防火墻，這并不容易。

對此，綠盟科技、深信服和網(wǎng)神三家廠商的資深安全專家圍繞第二代防火墻的三大特性（融合的安全、深度內(nèi)容檢測和混合包性能），針對用戶的網(wǎng)絡(luò)安全需求進行了詳細解析。

綠盟科技：融合的安全

作為第二代防火墻標準主要起草單位之一，綠盟科技安全專家王猛表示，通過木桶原理可以看出，安全防護的強弱是由最薄弱的那個環(huán)節(jié)決定。

UTM產(chǎn)品對安全功能進行了一次“融合”，但依然存在一些短板，除了安全防護性能比較低，且針對信息泄露防護達不到安全要求。而第二代防火墻的出現(xiàn)，是對UTM產(chǎn)品的安全短板進行了延長，對安全進行了全面的融合。

與第一代防火墻測評標準相比，第二代防火墻標準在網(wǎng)絡(luò)層控制上，針對策略路由、帶寬管理、流量統(tǒng)計方面進行了增強；新增連接數(shù)控制、會話管理。

兩代標準區(qū)別點之一是新增了應(yīng)用層控制，分為應(yīng)用協(xié)議與內(nèi)容控制、用戶管控、入侵防御、惡意代碼防護、Web攻擊防護、信息泄露防護。

在安全運維管理方面，新標準使用安全性更高的SNMP V3協(xié)議；對規(guī)則進行檢查，并且根據(jù)安全風險等級自動生成推薦策略；對系統(tǒng)的運行狀態(tài)異常進行報警；要求主備墻的切換時間不可超過5秒，并且能夠支持主模式。

深信服：深度內(nèi)容檢測

深信服網(wǎng)絡(luò)安全專家介紹，當前ICT業(yè)務(wù)已經(jīng)發(fā)生變化：網(wǎng)絡(luò)應(yīng)用多樣化、物理邊界模糊化、安全威脅復(fù)雜化。如此一來，傳統(tǒng)防火墻L3~4層的解析已無法抵御安全威脅。為有效應(yīng)對較為流行的信息泄露威脅，第二代防火墻要求具備內(nèi)容級的威脅檢測能力。

新標準定義了“深度內(nèi)容檢測”概念：對應(yīng)用協(xié)議深入解析，識別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內(nèi)容，并對這些數(shù)據(jù)進行快速解析，以還原其原始通信信息。根據(jù)解析后的原始信息，檢測其中是否包含威脅以及敏感內(nèi)容。

據(jù)悉，2011年深信服科技推出國內(nèi)首款下一代防火墻NGAF(即第二代防火墻)，產(chǎn)品面世后銷量獲得了快速增長，深信服在該領(lǐng)域的實力得到認可。2013年3月，深信服受到中華人民共和國公安部的邀請，以主要起草單位的身份參與制定我國第二代防火墻標準。

網(wǎng)神：提升混合包性能

網(wǎng)神安全專家王剛談到，防火墻的選擇需要客戶從業(yè)務(wù)功能和安全功能需求、當前與未來的網(wǎng)絡(luò)環(huán)境發(fā)展、攻與防的價值三個維度加以考量。

第二代防火墻需要實現(xiàn)數(shù)據(jù)的單路徑匹配，數(shù)據(jù)包僅需一次解碼即可滿足各項應(yīng)用層防護模塊的需要，有助于設(shè)備性能的大幅提升，讓所有安全功能模塊能夠真正開啟并發(fā)揮作用。

同時，第二代防火墻要實現(xiàn)多安全模塊的融合，對數(shù)據(jù)檢測過程中產(chǎn)生的信息能夠充分關(guān)聯(lián)，用戶無需進行人工發(fā)掘和分析即可全面掌握威脅全貌。

因此，第二代防火墻在應(yīng)用層吞吐、網(wǎng)絡(luò)層吞吐、延遲、最大新建連接數(shù)、最大并發(fā)連接數(shù)等參數(shù)方面都提出了性能要求。如在應(yīng)用層吞吐方面，第二代防火墻在不阻斷正常連接的情況下，應(yīng)達到的單向應(yīng)用層吞吐量指標：千兆產(chǎn)品應(yīng)不小于900Mbit/ s；萬兆第二代及萬兆以上防火墻應(yīng)用層吞吐量應(yīng)不小于8Gbit/s。